Spoofing, cos’è il nuovo attacco hacker

Lo spoofing è una truffa via telefono ed email che, negli ultimi mesi, sta colpendo sempre più persone. Gli utenti ricevono email da indirizzi apparentemente ufficiali o telefonate da numeri noti che si rivelano, invece, trappole orchestrate da gruppi criminali. Il fenomeno spoofing sta rapidamente diventando una delle armi preferite dei cybercriminali.

Cos’è lo spoofing via telefono

Nel caso delle telefonate, l’efficacia dello spoofing si basa su una falla nel sistema: alcuni provider VoIP permettono agli utenti di impostare liberamente il numero che apparirà sul display del destinatario, semplicemente accedendo alla pagina di configurazione del servizio. Nessun software aggiuntivo, nessuna competenza tecnica particolare: basta inserire il numero da mascherare e la truffa è pronta. Così, un call center abusivo può fingersi una banca, un’azienda che cerca personale o un servizio clienti.
Lo dimostrano le truffe telefoniche che in Italia stanno colpendo chi cerca lavoro, con falsi operatori che si presentano come recruiter affidabili per raccogliere dati personali o richiedere di inviare un CV, salvo poi scomparire dopo aver carpito informazioni sensibili. Il numero da cui chiamano? Spesso è lo stesso del centralino di note aziende, replicato ad arte.

Come funziona lo spoofing

Anche con i messaggi di posta elettronica il rischio è alto: secondo i dati più aggiornati, ogni giorno vengono inviate nel mondo circa 3,1 miliardi di email con indirizzo falsificato, spesso indistinguibili da quelle autentiche. Non si tratta solo di spam, ma di operazioni mirate, come quella che ha colpito una nota azienda britannica: un messaggio apparentemente firmato dal CEO ha spinto diversi dipendenti a condividere documenti riservati. Il danno reputazionale è stato immediato.
Il principio è semplice: mascherare l’identità del mittente per ingannare il destinatario. Nella versione più comune, quella via email, l’hacker finge di scrivere da un indirizzo conosciuto — può essere il capo, un fornitore o una banca. Il messaggio è studiato per sembrare autentico, e spinge l’utente ad aprire allegati, cliccare su link o fornire credenziali. Ma non c’è solo la posta elettronica. Lo spoofing si estende ai siti web (cloni di quelli ufficiali), agli indirizzi IP, agli identificatori MAC di un dispositivo, fino alle immagini manipolate per trarre in inganno sistemi di riconoscimento.

Come difendersi dallo Spoofing

Riconoscere uno spoofing non è banale, ma esistono strumenti e pratiche che possono ridurre i rischi. I più efficaci prevedono l’analisi dei dettagli tecnici — come le intestazioni delle email, i certificati digitali o le anomalie nei link — e l’adozione di protocolli come SPF, DKIM e DMARC, che autenticano la provenienza dei messaggi. Alcune aziende stanno già usando sistemi di monitoraggio proattivo per rilevare domini sospetti o attacchi in corso.
La tecnologia, però, non basta. Il punto più vulnerabile resta l’essere umano. Formazione continua, simulazioni di phishing e campagne interne di sensibilizzazione sono oggi essenziali. Lo spoofing è un attacco a basso costo e ad alta efficacia. Non serve violare firewall o infrangere i server: basta ingannare le persone. Finché le aziende e gli utenti non adotteranno un approccio integrato, che combini tecnologia, consapevolezza e processi chiari, il fenomeno continuerà a diffondersi. E quando i numeri da cui riceviamo le chiamate o le email che leggiamo ogni giorno possono essere falsificati con un clic, fidarsi non basta più. Serve verificare sempre.